Need help? Ask the community or hire an expert.
Go to Avira Answers
病毒:BDS/Ruskill.adi
发现日期:13/12/2012
类型:后门程序服务器
广泛传播:
病毒传播个案呈报:低程度
感染/传播能力:低程度
破坏 / 损害程度:中等程度
静态文件:
文件大小:155.648 字节
MD5 校检和:80A8AF31BE27D22D6CB0D2E02E9AA1A6
VDF 版本:7.11.53.216 - 2012년 12월 13일 목요일
IVDF 版本:7.11.53.216 - 2012년 12월 13일 목요일

 况概描述 传播方法:
   • 无内置传播例程


别名:
   •  Kaspersky: Backdoor.Win32.Ruskill.zp
   •  TrendMicro: TROJ_SPNR.02GB11
   •  Microsoft: Worm:Win32/Dorkbot.I


平台/操作系统:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows 7


副作用:
   • 植入文件
   • 注册表修改
   • 窃取信息

 文件 它将本身复制到以下位置:
   • %APPDATA%\%随机字符串%.exe



它会删除其本身最初执行的副本。

 注册表 会添加以下某个注册值,以便在重新引导后运行进程:

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "%随机字符串%"="%APPDATA%\%随机字符串%.exe"



会更改以下注册表项:

降低 Internet Explorer 的安全设置:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
   新值:
   • "MigrateProxy"=dword:00000001
   • "ProxyEnable"=dword:00000000
   • "ProxyServer"=-
   • "ProxyOverride"=-
   • "AutoConfigURL"=-

 IRC 为了提供系统信息和远程控制,它会连接到以下 IRC 服务器:

服务器: **********smynew1.info
端口: 1863
昵称: %随机字符串%

服务器: **********smynew.info
端口: 1863
昵称: %随机字符串%



– 此恶意软件能够搜集并发送类似如下信息:
    • 当前用户
    • Windows 操作系统信息


– 而且,它能够进行此般操作:
    • 连接到 IRC 服务器
    • 与 IRC 服务器断开连接
    • 加入 IRC 通道
    • 离开 IRC 通道

 注入进程 – 它将自己作为远程线程注入到进程中。

    以下所有进程:
   • csrss.exe
   • explorer.exe
   • services.exe
   • smss.exe
   • svchost.exe
   • winlogon.exe


 其他 访问 Internet 资源:
   • http://api.wipmania.com/

 文件详细信息 编程语言:
该恶意软件程序是用 MS Visual C++ 编写的。

설명 삽입자 Andrei Ilie   2011년 10월 20일 목요일
설명 업데이트 Andrei Ilie   2011년 10월 24일 월요일

뒤로 . . . .
https:// 이 창은 보안을 위해 암호화되었습니다.